Cara mengakses log aktivitas di Microsoft Entra ID

Data yang dikumpulkan dalam log Microsoft Entra memungkinkan Anda menilai banyak aspek penyewa Microsoft Entra Anda. Untuk mencakup berbagai skenario, MICROSOFT Entra ID memberi Anda beberapa opsi untuk mengakses data log aktivitas Anda. Sebagai administrator IT, Anda perlu memahami kasus penggunaan yang dimaksudkan untuk opsi tersebut, sehingga Anda dapat memilih metode akses yang tepat untuk skenario Anda.

Anda dapat mengakses log dan laporan aktivitas Microsoft Entra menggunakan metode berikut:

• Mengalirkan log aktivitas ke pusat aktivitas untuk diintegrasikan dengan alat lain
• Mengakses log aktivitas melalui Microsoft Graph API
• Mengintegrasikan log aktivitas dengan log Azure Monitor
• Memantau aktivitas secara real time dengan Microsoft Azure Sentinel
• Melihat log aktivitas dan laporan di portal Azure
• Mengekspor log aktivitas untuk penyimpanan dan kueri

Masing-masing metode ini memberi Anda kemampuan yang mungkin selaras dengan skenario tertentu. Artikel ini menjelaskan skenario tersebut, termasuk rekomendasi dan detail tentang laporan terkait yang menggunakan data dalam log aktivitas. Jelajahi opsi dalam artikel ini untuk mempelajari skenario tersebut sehingga Anda dapat memilih metode yang tepat.

Prasyarat

Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust.

Log / Laporan	Peran	Lisensi
Audit	Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global	Semua edisi ID Microsoft Entra
Rincian masuk	Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global	Semua edisi ID Microsoft Entra
Penyediaan	Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global Operator Keamanan Administrator Aplikasi Administrator Aplikasi Cloud	Microsoft Entra ID P1 atau P2
Log audit atribut keamanan kustom*	Administrator Log Atribut Pembaca Log Atribut	Semua edisi ID Microsoft Entra
Penggunaan dan wawasan	Pembaca Laporan Pembaca Keamanan Administrator Keamanan	Microsoft Entra ID P1 atau P2
Perlindungan Identitas**	Administrator Keamanan Operator Keamanan Pembaca Keamanan Pembaca Global	Microsoft Entra ID Gratis Aplikasi Microsoft 365 Microsoft Entra ID P1 atau P2
Log aktivitas Microsoft Graph	Administrator Keamanan Izin untuk mengakses data di tujuan log terkait	Microsoft Entra ID P1 atau P2

*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.

**Tingkat akses dan kemampuan untuk Perlindungan Identitas bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan Identitas.

Log audit tersedia untuk fitur yang telah Anda lisensikan. Untuk mengakses log masuk menggunakan Microsoft Graph API, penyewa Anda harus memiliki lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya.

Mengalirkan log ke pusat aktivitas untuk diintegrasikan dengan alat SIEM

Streaming log aktivitas Anda ke pusat aktivitas diperlukan untuk mengintegrasikan log aktivitas Anda dengan alat Security Information and Event Management (SIEM), seperti Splunk dan SumoLogic. Sebelum dapat melakukan streaming log ke pusat aktivitas, Anda perlu menyiapkan namespace Layanan Pusat Aktivitas dan pusat aktivitas di langganan Azure Anda.

Penggunaan yang direkomendasikan

Alat SIEM yang dapat Anda integrasikan dengan pusat aktivitas Anda dapat memberikan kemampuan analisis dan pemantauan. Jika Anda sudah menggunakan alat ini untuk menyerap data dari sumber lain, Anda dapat mengalirkan data identitas untuk analisis dan pemantauan yang lebih komprehensif. Sebaiknya streaming log aktivitas Anda ke pusat aktivitas untuk jenis skenario berikut:

• Jika Anda memerlukan platform streaming big data dan layanan penyerapan peristiwa untuk menerima dan memproses jutaan peristiwa per detik.
• Jika Anda ingin mengubah dan menyimpan data dengan menggunakan penyedia analitik real time atau adaptor batching/penyimpanan.

Langkah cepat

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
2. Membuat namespace layanan Azure Event Hubs dan pusat aktivitas.
3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
4. Pilih log yang ingin Anda streaming, pilih opsi Streaming ke hub peristiwa, dan selesaikan bidang.
   • Menyiapkan namespace layanan Azure Event Hubs dan pusat aktivitas
   • Pelajari selengkapnya tentang log aktivitas streaming ke pusat aktivitas

Vendor keamanan independen Anda akan memberikan petunjuk tentang cara menyerap data dari Azure Event Hubs ke dalam alat mereka.

Mengakses log dengan Microsoft Graph API

Microsoft Graph API menyediakan model keterprograman terpadu yang dapat Anda gunakan untuk mengakses data untuk penyewa Microsoft Entra ID P1 atau P2 Anda. Ini tidak mengharuskan administrator atau pengembang untuk menyiapkan infrastruktur tambahan untuk mendukung skrip atau aplikasi Anda.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Penggunaan yang direkomendasikan

Dengan menggunakan penjelajah Microsoft Graph, Anda dapat menjalankan kueri untuk membantu Anda dengan jenis skenario berikut:

• Menampilkan aktivitas penyewa seperti siapa yang membuat perubahan pada grup dan kapan.
• Tandai peristiwa masuk Microsoft Entra sebagai aman atau dikonfirmasi disusupi.
• Ambil daftar rincian masuk aplikasi selama 30 hari terakhir.

Catatan

Microsoft Graph memungkinkan Anda mengakses data dari beberapa layanan yang memberlakukan batas pembatasan mereka sendiri. Untuk informasi selengkapnya tentang pembatasan log aktivitas, lihat Batas pembatasan khusus layanan Microsoft Graph.

Langkah cepat

1. Konfigurasikan prasyarat.
2. Masuk ke Graph Explorer.
3. Atur metode HTTP dan versi API.
4. Tambahkan kueri lalu pilih tombol Jalankan kueri .
   • Biasakan diri Anda dengan properti Microsoft Graph untuk audit direktori
   • Menyelesaikan panduan Mulai Cepat MS Graph

Mengintegrasikan log dengan log Azure Monitor

Dengan integrasi log Azure Monitor, Anda dapat mengaktifkan visualisasi, pemantauan, dan pemberitahuan yang kaya pada data yang terhubung. Analitik Log menyediakan kemampuan kueri dan analisis yang ditingkatkan untuk log aktivitas Microsoft Entra. Untuk mengintegrasikan log aktivitas Microsoft Entra dengan log Azure Monitor, Anda memerlukan ruang kerja Analitik Log. Dari sana, Anda dapat menjalankan kueri melalui Analitik Log.

Penggunaan yang direkomendasikan

Mengintegrasikan log Microsoft Entra dengan log Azure Monitor menyediakan lokasi terpusat untuk mengkueri log. Sebaiknya integrasikan log dengan Azure Monitor untuk jenis skenario berikut:

• Bandingkan log masuk Microsoft Entra dengan log yang diterbitkan oleh layanan Azure lainnya.
• Menghubungkan log masuk dengan Wawasan Aplikasi Azure.
• Log kueri menggunakan parameter pencarian tertentu.

Langkah cepat

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
2. Membuat ruang kerja Analitik Log.
3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
4. Pilih log yang ingin Anda streaming, pilih opsi Kirim ke ruang kerja Analitik Log, dan selesaikan bidang.
5. Telusuri Pemantauan Identitas>& Analitik Log kesehatan>dan mulai mengkueri data.
   • Mengintegrasikan log Microsoft Entra dengan log Azure Monitor
   • Pelajari cara mengkueri menggunakan Analitik Log

Memantau peristiwa dengan Microsoft Azure Sentinel

Mengirim log masuk dan audit ke Microsoft Azure Sentinel menyediakan pusat operasi keamanan Anda dengan deteksi keamanan hampir real-time dan perburuan ancaman. Istilah pencarian ancaman mengacu pada pendekatan proaktif untuk meningkatkan postur keamanan lingkungan Anda. Dibandingkan dengan perlindungan klasik, perburuan ancaman mencoba secara proaktif mengidentifikasi potensi ancaman yang mungkin membahayakan sistem Anda. Data log aktivitas Anda mungkin menjadi bagian dari solusi pencarian ancaman Anda.

Penggunaan yang direkomendasikan

Sebaiknya gunakan kemampuan deteksi keamanan real time Microsoft Azure Sentinel jika organisasi Anda memerlukan analitik keamanan dan inteligensi ancaman. Gunakan Microsoft Azure Sentinel jika Anda perlu:

• Kumpulkan data keamanan di seluruh perusahaan Anda.
• Mendeteksi ancaman dengan inteligensi ancaman yang luas.
• Selidiki insiden penting yang dipandu oleh AI.
• Merespons dengan cepat dan mengotomatiskan perlindungan.

Langkah cepat

1. Pelajari tentang prasyarat, peran, dan izin.
2. Memperkirakan potensi biaya.
3. Onboard ke Microsoft Azure Sentinel.
4. Mengumpulkan data Microsoft Entra.
5. Mulai berburu ancaman.

Melihat log melalui pusat admin Microsoft Entra

Untuk penyelidikan satu kali dengan cakupan terbatas, pusat admin Microsoft Entra sering kali merupakan cara term mudah untuk menemukan data yang Anda butuhkan. Antarmuka pengguna untuk setiap laporan ini memberi Anda opsi filter yang memungkinkan Anda menemukan entri yang Anda butuhkan untuk menyelesaikan skenario Anda.

Data yang diambil dalam log aktivitas Microsoft Entra digunakan dalam banyak laporan dan layanan. Anda dapat meninjau log masuk, audit, dan provisi untuk skenario satu kali atau menggunakan laporan untuk melihat pola dan tren. Data dari log aktivitas membantu mengisi laporan Perlindungan Identitas, yang menyediakan deteksi risiko terkait keamanan informasi yang dapat dideteksi dan dilaporkan oleh ID Microsoft Entra. Log aktivitas Microsoft Entra juga mengisi laporan Penggunaan dan wawasan, yang memberikan detail penggunaan untuk aplikasi penyewa Anda.

Penggunaan yang direkomendasikan

Laporan yang tersedia di portal Azure menyediakan berbagai kemampuan untuk memantau aktivitas dan penggunaan di penyewa Anda. Daftar penggunaan dan skenario berikut tidak lengkap, jadi jelajahi laporan untuk kebutuhan Anda.

• Teliti aktivitas masuk pengguna atau lacak penggunaan aplikasi.
• Tinjau detail sekeliling perubahan nama grup, pendaftaran perangkat, dan pengaturan ulang kata sandi dengan log audit.
• Gunakan laporan Perlindungan Identitas untuk memantau pengguna berisiko, identitas beban kerja berisiko, dan proses masuk berisiko.
• Anda dapat meninjau tingkat keberhasilan masuk dalam laporan aktivitas aplikasi Microsoft Entra (pratinjau) dari Penggunaan dan wawasan untuk memastikan bahwa pengguna Anda dapat mengakses aplikasi yang digunakan di penyewa Anda.
• Bandingkan berbagai metode autentikasi yang disukai pengguna Anda dengan laporan Metode autentikasi dari Penggunaan dan wawasan.

Langkah cepat

Gunakan langkah-langkah dasar berikut untuk mengakses laporan di pusat admin Microsoft Entra.

Log aktivitas Microsoft Entra

1. Telusuri ke Log Masuk Pemantauan Identitas>& Log audit/kesehatan>Log provisi./
2. Sesuaikan filter sesuai dengan kebutuhan Anda.
   • Pelajari cara memfilter log aktivitas
   • Menjelajahi kategori dan aktivitas log audit Microsoft Entra
   • Pelajari tentang info dasar di log masuk Microsoft Entra

Log audit dapat diakses langsung dari area pusat admin Microsoft Entra tempat Anda bekerja. Misalnya, jika Anda berada di bagian Grup atau Lisensi dari ID Microsoft Entra, Anda dapat mengakses log audit untuk aktivitas tertentu tersebut langsung dari area tersebut. Saat Anda mengakses log audit dengan cara ini, kategori filter diatur secara otomatis. Jika Anda berada di Grup, kategori filter log audit diatur ke GroupManagement.

Laporan Perlindungan ID Microsoft Entra

1. Telusuri Perlindungan Identitas Perlindungan>.
2. Jelajahi laporan yang tersedia.
   • Pelajari selengkapnya tentang Perlindungan Identitas
   • Pelajari cara menyelidiki risiko

Laporan penggunaan dan wawasan

1. Telusuri Pemantauan Identitas>& Penggunaan dan wawasan kesehatan>.
2. Jelajahi laporan yang tersedia.
   • Pelajari selengkapnya tentang laporan Penggunaan dan wawasan

Mengekspor log untuk penyimpanan dan kueri

Solusi yang tepat untuk penyimpanan jangka panjang Anda tergantung pada anggaran Anda dan apa yang Anda rencanakan untuk dilakukan dengan data. Anda memiliki tiga opsi:

• Mengarsipkan log ke Azure Storage
• Mengunduh log untuk penyimpanan manual
• Mengintegrasikan log dengan log Azure Monitor

Azure Storage adalah solusi yang tepat jika Anda tidak sering berencana mengkueri data Anda. Untuk informasi selengkapnya, lihat Mengarsipkan log direktori ke akun penyimpanan.

Jika Anda berencana untuk mengkueri log sering kali untuk menjalankan laporan atau melakukan analisis pada log yang disimpan, Anda harus mengintegrasikan data Anda dengan log Azure Monitor.

Jika anggaran Anda ketat, dan Anda memerlukan metode murah untuk membuat cadangan jangka panjang log aktivitas Anda, Anda dapat mengunduh log Anda secara manual. Antarmuka pengguna log aktivitas di portal memberi Anda opsi untuk mengunduh data sebagai JSON atau CSV. Salah satu trade off dari unduhan manual adalah bahwa ia membutuhkan lebih banyak interaksi manual. Jika Anda mencari solusi yang lebih profesional, gunakan Azure Storage atau Azure Monitor.

Penggunaan yang direkomendasikan

Sebaiknya siapkan akun penyimpanan untuk mengarsipkan log aktivitas Anda untuk skenario tata kelola dan kepatuhan di mana penyimpanan jangka panjang diperlukan.

Jika Anda ingin penyimpanan jangka panjang dan ingin menjalankan kueri terhadap data, tinjau bagian tentang mengintegrasikan log aktivitas Anda dengan Log Azure Monitor.

Sebaiknya unduh dan simpan log aktivitas Anda secara manual jika Anda memiliki batasan anggaran.

Langkah cepat

Gunakan langkah-langkah dasar berikut untuk mengarsipkan atau mengunduh log aktivitas Anda.

Mengarsipkan log aktivitas ke akun penyimpanan

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
2. Membuat akun penyimpanan.
3. Telusuri pengaturan Pemantauan Identitas>& Diagnostik kesehatan.>
4. Pilih log yang ingin Anda streaming, pilih opsi Arsipkan ke akun penyimpanan, dan selesaikan bidang.
   • Meninjau kebijakan retensi data

Mengunduh log aktivitas secara manual

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
2. Telusuri log Masuk Pemantauan Identitas>& log/audit kesehatan>Log provisi/ dari menu Pemantauan.
3. Pilih Unduh.
   • Pelajari selengkapnya tentang cara mengunduh log.

Langkah berikutnya

• Mengalirkan log ke pusat aktivitas
• Arsipkan log ke akun penyimpanan
• Mengintegrasikan log dengan log Azure Monitor